Blog

Aktuelles

 

Wer zur Hölle ist TOM?

Immer wieder hört man von „TOM“, wenn es um die Sicherheit von Daten geht. Damit ist natürlich keine Person gemeint, sondern eine ganze Reihe von Maßnahmen für die Datensicherheit – technischer und organisatorischer Art. Für einen einzelnen wäre das also ein bisschen viel. Damit beim Datenschutz nichts schiefgeht, braucht man also bestimmte Sicherungsmaßnahmen. Die Maßnahmen sind laut Art. 32 DSGVO „Sicherheit der Verarbeitung“ zu ergreifen, um das Risiko auf ein „angemessenes Schutzniveau“ zu reduzieren.

Ursprünglich kommen die Maßnahmen aus der Informationssicherheit, wo sie ein sehr wichtiger und umfangreicher Teil des Informationssicherheitssystems (ISMS) sind, das man sich zum Beispiel nach der DIN ISO 27001 zertifizieren lassen kann.

Bereiche

Die Maßnahmen können in 14 Bereiche unterteilt werden (früher 8):

– Zugangskontrolle,

– Datenträgerkontrolle,

– Speicherkontrolle,

– Benutzerkontrolle,

– Zugriffskontrolle

– Übertragungskontrolle,

– Eingabekontrolle,

– Transportkontrolle,

– Wiederherstellbarkeit,

– Zuverlässigkeit,

– Datenintegrität,

– Auftragskontrolle,

– Verfügbarkeitskontrolle,

– Trennbarkeit.

In jedem dieser Bereiche können jeweils technische und organisatorische Maßnahmen ergriffen werden, um die personenbezogenen Daten besser zu schützen. Das heißt aber nicht, dass jedes Unternehmen in jedem dieser 14 Bereiche Maßnahmen umsetzen muss. Hat ein Unternehmen keine in einem bestimmten Bereich, dann kann dieser auch beim Audit ausgeklammert werden. Vielmehr sind die Maßnahmenbereiche als Hinweise zu verstehen, wo die eigenen Risiken überprüft werden müssen.

Technische Maßnahmen sind dabei etwa Vorkehrungen zum Schutz gegen physische Angriffe oder andere Vorkommnisse.

Beispiele:

– Ein Notstromaggregat kann im Fall eines Stromausfalls verhindern, dass Daten unwiederbringlich verloren gehen.

– Schließsysteme und Sicherheitsschlösser in Türen und Schränken oder Alarmanlagen verhindern den Zutritt unbefugter Personen zu Räumen, in denen Daten aufbewahrt oder gespeichert werden.

– Organisatorische Maßnahmen geben mit festgelegten Abläufen und Prozessen einen Handlungsrahmen für den sicheren Umgang mit Daten.

Beispiele:

– Die Personenkontrolle beim Pförtner,

– Festlegung der zugriffsberechtigten Personen für Ordnersysteme und Dateien,

– Notfallpläne.

Weitere Beispiele:

– Vertraulichkeitsverpflichtungen der Mitarbeiter

– Ein passwortgeschützter Bildschirmschoner schützt Geschäftsdaten vor unbefugtem Zugriff.

– Der Monitor ist so auszurichten, dass niemand Einsicht auf angezeigte Inhalte erhält.

– Passwörter dürfen nicht auf Zetteln notiert am Arbeitsplatz liegen gelassen werden oder als Post-its am Monitor kleben.

Da manche Maßnahmen sowohl technisch als auch organisatorisch sind und sich unter Umständen auch mehreren Bereichen zuordnen lassen, überschneiden sie sich teilweise. Wesentlich ist, dass sich das Risiko durch die Umsetzung der Maßnahmen auf einen akzeptablen Wert reduziert. Dazu ist eine Risikoanalyse aller Verarbeitungsvorgänge in der Organisation unerlässlich.